深夜慢读
新浪微博
微信
当前位置:深夜慢读网 » 二手房

建立情报驱动的网络安全机制

一次性进群,长期免费索取教程,没有付费教程。

教程列表见微信公众号底部菜单

进微信群回复公众号:微信群;QQ群:460500587



微信公众号:计算机与网络安全

ID:Computer-network

情报小组合作可以成为许多安全运营计划的游戏改变者。但是,需要建立一种机制,让每个人都处在同一个页面上,无论是情报团队还是客户支持团队。一个结构化的情报计划将提供一个强大的情报支援能力,并非为了建设而建设,避免许多相关团队的能力被抛在一边弃之不用。下面将介绍在企业中建立情报团队或职能时要考虑的各种要素。


一、准备


在开始制定一个情报计划之前,这里有一些基本的问题要问,这需要投入资金、时间和精力。


企业中是否有安全功能?


这似乎是一个简单的问题。但令人惊讶的是,有多少企业开始考虑通过一个人的安全团队甚至一个负责IT操作和安全的单一团队开发威胁情报功能。虽然情报驱动的方法可能会使那些负责防止所有事情发生的“穷人”受益,但是情报部门将把预算从其他以安全为重点的人员和工具中解放出来,这意味着情报小组可能会成为安全小组,而不是专注于情报工作。


有网络可视性吗?


情报项目依赖于内部和外部的信息获取,内部是进行情报分析所需的最重要信息。当没有这些内容时,无论是因为技术限制、隐私还是法律问题,情报小组的有效性都是有限的。如果可视性是一个技术问题,最好的办法是在建立情报项目之前把重点放在获得可视性上。如果存在法律或隐私问题,最好与法律顾问讨论这些问题,以确定可以做什么以及情报项目是否合适。有时,情报可以帮助克服企业这些类型的障碍,包括提供对外部威胁的补充洞察,以弥补缺乏可视性,但这些情况是例外的而不是规则。


是否有多个团队或功能能够支撑?


正如我们所提到的,情报可以被认为是把多种功能结合在一起的粘合剂。从事件响应中获得的情报可以帮助预防和检测,协助处理漏洞管理和安全架构,并为战略计划提供信息。对于一个人来说,这是很多工作。当一个企业需要开展多个方面的情报工作时,这是一个好兆头,是时候与多个团队成员一起建立一个情报计划了。如果计划是为了支持单一方面的情报,例如主要支持事件响应,那么最好从一个团队中的情报角色开始。


有预算空间吗?


这个问题的答案通常是否定的,后面跟着:“但是,如果我们需要它,我们就会使它工作”。这些答案中的任何一个都是一个好兆头,现在不是启动情报计划的最佳时机。情报几乎总是一个成本中心,而不是一个利润中心,这意味着它不会产生额外的收入来维持其运作。获得适当的资金水平可能是困难的。情报项目不需要成为预算破坏者,但是一个几乎总是高价值的项目就是人员。如果你只是在开发一个程序,找到合适的人员是很重要的,无论是在内部还是在外部招聘,让计划一开始就迈出正确的一步。对这个问题的更好回答是“是的,我们有一定的预算空间,因为它是我们安全计划成熟度的一个重要步骤”。好的,我们知道这样的答案不经常出现,但是如果它发生了,这是一个好兆头,你已经准备好了一个情报计划。


在确定预算范围的最底端是答案:“我们只是受到了可怕的黑客攻击,现在我们必须展示我们正在做的不同的事情,以便它不会再发生。我们得去买买买,买所有能买到的安全产品”。即使对重大安全事件的下意识反应往往伴随着大量的预算,重要的是要知道事件并不是启动情报项目的最佳理由,而且如果关键的先决条件(网络可视性,指导需求和预算)没有得到满足,即使当前看来是一个好机会,可能会在几年后变成关于投资回报率的问题。如果你的企业处于这种状况,请务必采取务实的方法来执行该计划,遵循下面所述的指导原则来确定目标和受众,并确保你掌握有意义的指标,以保证情报计划不会落空,最终导致你的企业从最初的下意识反应到二次事件后进行了预算削减。


在正式确定了情报项目是否是最好的选择之后,还需要在引进和生成产品之前定义该项目的许多其他方面。开发一个新的项目需要大量的工作,以确保它的长期成功。清楚地定义你的计划是很重要的,这样可以确保每个人对你想要创建的东西跟你处在同一平面上。


二、规划情报计划


一个坚定的发展规划包括以下三种类型:概念规划、功能规划和详细规划。


(1)概念规划确定了计划涉及工作范围的框架。利益相关者对概念规划的贡献最大,但是了解情报可以提供给他们的东西是非常重要的,特别是如果他们不熟悉情报工作。


(2)功能规划包括来自利益相关方和情报专业人员的意见,以确定完成目标的要求、预算和人员需求等后勤、约束、依赖关系和任何法律问题。功能规划为那些抽象的概念规划阶段提供结构和现实性。


(3)详细规划由情报小组进行详细分解,最终将决定利益相关者所确定的目标在功能范围内如何得到满足。


规划的所有三个阶段需要确保各方面都能够被充分考虑,无论是预算,还是最终向利益相关方汇报的指标。


1、定义利益相关者


情报团队了解其利益相关者是至关重要的,我们要确保对情报进行的分析及最终的报告对利益相关方而言是有用的和可理解的。应该明确界定这些利益相关者,定义利益相关者应该在概念规划的早期阶段进行,因为利益相关者将为整个过程做出贡献。


以下是一些常见的利益相关者:


情报响应团队


事件响应是一个理想的利益相关者,因为事件响应不仅会从情报运营支持中受益,而且还会向情报团队提供额外的信息,这些信息也将被用于其他功能。


安全运营中心/团队


情报小组可以向SOC提供新出现的威胁信息,无论这些威胁是一般威胁还是针对特定行业的威胁,甚至针对特定企业的威胁。情报还可以提供告警的技术指标、提供告警情况的丰富信息以及帮助优先处理告警的信息。安全运营中心团队还可以向情报小组提供有关未产生事件的企图攻击信息,即使这些信息没有卷入事件响应团队,情报分析师仍然可以从失败的尝试中获得大量的信息。


漏洞管理团队


漏洞管理团队通常处理数百个(甚至数千个)漏洞编号。情报团队可以根据对企业最重大的威胁来帮助优先考虑打补丁。许多供应商将提供有关漏洞的严重程度和影响信息,但还需要进行额外的分析以确定漏洞对特定企业的威胁。一个情报小组的理想位置是协助进行这项分析。情报团队还可以与漏洞管理团队和安全运营团队协同工作,以确保安全团队可以在企业修复的过程中监视针对未修补漏洞的漏洞利用。


首席信息安全官


CISO负责理解和管理企业信息的风险,而情报可以提供帮助理解和管理风险的洞察力。作为利益相关方,CISO可能会有最广泛的情报需求,无论是战术性的还是战略性的。了解CISO对情报项目的期望,以及这些信息与安全运营中的其他团队之间的关系非常重要。


终端用户


终端用户通常是情报的间接利益相关者。通常,情报计划将通过提供最新或不断变化的威胁信息,帮助用户了解这些威胁的影响以及应如何应对,从而为最终用户安全意识培训提供支持。如果用户意识教育是情报计划提供支持的,那么确定哪个团队负责这种关系是很重要的,因为情报团队不可能直接与企业中的每个最终用户进行沟通。


利益相关者确定后,重要的是要记录它们。图1所示的格式是记录利益相关者识别的一个例子。它包括一些基本信息,比如利益相关者的名字、联络点(应该被告知他们对这种关系负责)以及情报计划将向利益相关者提供的简要描述。

图1  利益相关者文档示例

2、定义目标


定义利益相关者后,要确定计划的目标与每个利益相关者的期望。这是一个更深入的过程,涉及讨论利益相关者的需求,以及情报计划如何以具体的方式满足这些需求。这种对话是必要的,因为利益相关者最了解他们所需要的支持类型,情报计划的代表最清楚是否可以实现一个特定的目标。


在设定目标的过程中,你不应该定义如何达到目标,或者使用哪些工具或人员来实现目标。在这个阶段,情报团队可能没有人员配备或者已经获得了工具,定义这些细节会束缚了团队的流程。


3、定义成功标准


定义具体的目标,使用相同的成功定义,让利益相关者和情报团队在同一平面上。在图1中的利益相关者文档模板中,不同的人可能会有不同的支持定义。其中一个定义可能是在事件响应期间提供技术援助。对于某个人来说,这可能会转化为提供技术IOC;但对于其他人,这可能意味着情报团队将进行日志分析以识别异常行为。这些不同的定义彻底改变了支持的性质。一个是外在的,另一个是内在的。这是设定具体目标澄清所提供的支持的一个很好的例子。在这种情况下,虽然提供技术支持是一个总体要求,但目标可以明确说明,这种技术支持可以包括:


(1)识别包括IOC在内的外部情报以协助调查;

(2)根据需要帮助事件响应团队分析日志中的异常行为。


以下是一些可以帮助企业开始对话的关键问题:


利益相关方面临的问题是什么?

情报计划如何帮助解决这些问题?

情报支持对利益相关者的理想结果是什么?

如果有多个结果,他们应该如何优先考虑?

将如何启动情报?它是连续的还是按需提供?

是否有依赖关系?


成功的标准确定之后,这个过程就可以转向识别潜在的取得成功的方法。实现目标的方法往往不止一个,最好的选择往往取决于每个选项所需的资源。


4、确定需求和限制


需求和限制属于规划的功能部分。一旦确定了成功标准并确定了理想的结果,重要的是还要确定完成已列出的任务所需要的事情。这些事情通常分为两个部分:需求——实现目标所需的东西,以及约束——阻碍完成目标的能力因素。确定需求和限制的一种方法是对问题进行一次遍历或桌面演练,采取不同的方式拟定可能的解决方案逐步解决问题。这个练习的目的不是为了解决问题,而是为了确定实现目标(需求)所需要的东西,以及确定需要解决的潜在问题(约束)。这些问题应该记录相应的潜在解决方案,结果可以用来确定最佳的行动方针。这个记录应该是高层级的,不应该把重点放在需求的具体细节上。例如,潜在的流程可能会确定需要一个自动化解决方案来提供所需规模的结果,但是在当前阶段,确定该解决方案是什么并不重要,只是将其确定为需求。应该在利益相关方文件中增加成功的标准、需求和约束条件,以继续全面了解情报计划,如图2所示。

图2  进阶利益相关者文件

考虑得更长远


这个行业里的一些人,包括我们自己,经常会自我感觉良好。无论是出于为使命奉献而自豪,还是坚信一个人能每晚睡不到四个小时地运作,我们有时会承担不应该做的任务。即使我们发现存在一些尚未解决的制约因素,我们仍然义无反顾。


尽管存在明显的制约因素,也值得尝试有吸引力的任务,但请务必考虑该决定的长期影响以及是否可持续。确定事情是否可以做,以确保充分了解这些限制,即使它们不能立即被解决,但能够在未来得到持续的关注。有时候对一个资源不完整的任务说“是”是必要的,也是恰当的,但是这个任务应该不会对未来几年的运营产生负面影响。


5、定义度量


好的度量标准可以讲述一个故事,当他们讲述一个关于利益相关者关心的事情时,他们是最好的。许多情报计划开始运作时,没有考虑如何定期向利益相关者传达进展情况,结果没有采用定量方式而是采用了定性方式。计划的准备阶段是确定将要收集和报告的指标的最佳时间。这个活动属于详细的计划阶段,但是它在很大程度上依赖于概念和功能计划阶段。


度量标准应直接说明利益相关者在规划过程中确定的概念性问题。当你开始定义你的情报计划时,应该问的首要问题之一是利益相关方的观念差距或需求是需要情报支持来实现的吗?我们可能无法确定最初准确的度量标准,但如果能识别什么是成功的情报以及如何衡量它们,也有助于制定计划来报告进展情况。如果利益相关者有具体的结果,他们希望被通知,这些可以在开始时加入到这个过程中,功能计划可以确保所需的资源被识别并考虑进去。如果团队等到一年或更长时间才能确定项目是否达到目标,他们可能不仅缺乏数据展示成果,而且也忽略了情报计划成功的定义。


不同的利益相关者会有不同的目标,因此会有不同的成功定义,这将通过不同的指标来展示。捕获有意义的信息以及如何衡量每个利益相关者,将使情报团队更容易保持专注于手头的任务,并随着计划的推进而逐步成功。

三、利益相关者档案


有些人可能会认为有同事的档案在旁边有些奇怪,但是我们是情报专业人员,这正是我们所做的。利益相关者档案对于情报计划来说是非常有价值的,因为他们确保情报分析人员能够在整个工作中专注于利益相关者的个人具体需求。了解你的情报客户是在适当的时间以正确的方式向他们提供正确信息的关键,因为他们能够最好地接收和处理信息。


利益相关者档案可以为一组利益相关者而开发,例如SOC分析师或威胁狩猎团队,但最好的方法是为利益相关者群体内的单个联系人开发角色。维护一个人的角色意味着角色改变或新角色出现时,角色必须更新。为个人建立一个档案是非常重要的,因为这个人对于情报团队和利益相关者团队之间的关系负责,并且对于支持关系的进展将会非常重视。不同的人可能会有不同的方式与情报团队互动,并有不同的喜好来接收和分享信息。情报部门对他们支持的角色了解得越多越好,他们通过情报工作能够提供更好的价值。


在为小组或个人开发档案时,需要考虑几个重要的事情。对于个人来说,捕捉特定个人的信息是很重要的,例如背景、他们热衷的事物、他们与周边角色相关的触发因素以及他们通常的操作方式。


利益相关者档案类似于为传播而开发的人物档案。事实上,类似的模板只需通过一些小的调整就可以使用,例如情报团队和利益相关者之间的交互关系。


四、战术用例


用例(use case)是程序开发的主要部分,情报计划也不例外。如果你有幸在一个已经确定和记录情报用例的企业中工作,那么你就是领先于这个游戏的,因为这是很多团队的努力方向。由于用例是直观的,没有太多的文档也很容易理解,写一些东西是很好的做法,以确保每个人都处在同一平面上,并为新的团队成员提供具体的参考。


战术用例涉及每天都有用的情报。这种情报将会迅速变化,但也可能是安全方案中最直接适用的情报。下面将介绍一些情报小组最常见的战术用例。


1、SOC支持


SOC支持是情报计划的主要客户之一。在SOC支持范围内有三个主要和独特的用例:


告警和签名开发


情报分析人员提供内部和外部的情报来生成安全告警的规则或签名。根据程序要求,这可能涉及搜索情报来生成签名并与SOC共享,或基于情报创建告警或规则。


诊断


情报为SOC分析人员提供了上下文,以协助对产生的告警进行分类和优先级排序。情报可以帮助SOC理解告警的重要性,然后可以根据告警的严重性和影响进行分类。情报还可以告诉分析人员应该采取的步骤,通过提供比较真实的肯定和误报或通过提供二级指标来寻找告警是否是假阳性。诊断通常也包括提供处理指导以便分析人员能根据操作指导去响应威胁。


态势感知


情报可以为SOC分析人员提供态势感知,帮助他们理解对其企业的新兴威胁或重大威胁,这两者都可以帮助生成告警规则并对这些告警进行分类。虽然SOC分析师往往更关注于威胁情报的战术性日常应用,但仍能从战略上了解其企业所面临的威胁。提供态势感知可能涉及每日或每周的情况,或者当重大威胁需要更多信息时。战术并不总是意味着被动,情报可以为SOC提供态势感知,帮助他们理解和防止威胁影响其网络。


2、指标管理


情报的另一个战术层面的用例是指标管理。我们已经触及了多个地方的指标,一般原则是指标被正确生成、执行和维护时可以成为有用的情报工具。指标主要用于规则生成、威胁检测和信息共享。他们也可以用于运营和战略层面的分析,以帮助创建一个威胁的整体形象。管理指标并不是一件小事。维持的指标越多,难度就越大。这里涵盖了指标管理的几个方面,包括威胁情报管理平台,识别和记录战术指标的情况,以及整合威胁情报信息:


威胁情报管理平台


在许多情况下,情报团队负责威胁情报管理平台,有时称为TIP。通常由用于存储指标的数据库和一个用户界面组成的。用户界面展示了指标上下文内容以及指标间的关系。威胁情报平台应该是可查询的以便协助分析,而且许多平台还提供了将指标输出到其他安全设备的方法。


威胁情报平台使得管理指标变得更加简单,但重要的是要明确为什么要存储指标。这种理解不仅可以确保你正确地管理它们,而且确保团队不会陷入收集指标的陷阱中,我们的目标不是尽可能多地收集指标,收藏是好事,但囤积不是。


更新指标


指标不是静态的。与大多数基于网络的指标一样,它们可能在一段时间内是恶意的,然后消失或变得良性。或者就像许多基于主机的指标一样,即使周围的环境已发生变化,但它们仍然是恶意的。在很多情况下,原来与一个攻击或组织相关的恶意软件被不同的参与者采用,或者在新的活动中使用。跟踪这些信息,并将新的用途或策略与现有的指标联系起来,同时清除或去除不再有效的指标,将确保为战术使用提供可靠的,高可信度的指标。一定要记住,应该使用这些指标,它们不应该只存放在一个经过精心设计和维护的仓库中。


第三方情报和来源管理


威胁源和第三方情报是指标的另一个来源,必须由情报小组来管理,以确保对企业有用。在很多情况下,这些来源被送入威胁情报平台。但是,在某些情况下,它们直接绑定到安全事件和事件管理(SIEM)系统等安全系统中。在大多数情况下,直接馈送并不理想,因为可能很难知道自动馈送中共享的信息。然而,这种做法在现实中非常普遍,许多企业认为威胁源是威胁情报的基石。必须认真审查和应用来自外部来源的威胁情报,一个比较好的方法是使用第三方情报和来源,它们可以提供内部产生指标的上下文信息,可以用来维护和更新现有的指标和规则。了解这些威胁源的来源非常重要,以便你可以轻松识别如何使用这些信息。来自蜜罐的第三方情报在不同情况下比来自社区的事件响应数据信息更有用。


五、运营用例


情报计划的运营案例着重于了解攻击的活动和趋势,无论是针对你的企业还是针对与你类似的其他企业。如果我们越早将一系列的入侵绑定在一起分析确定一个活动,那么我们阻止攻击者成功实现目标的可能性就越大。


战役跟踪


战役是一系列支持共同目标或目标的行动或攻击。第二次世界大战中的跳岛战役是这个概念的一个很好的例证。美国想打败日本,因此需要陆地来攻击日本大陆。这次跳岛战役是针对那些防卫不力的太平洋岛屿的一系列袭击事件。一个岛屿被占领后,军方将建立起落跑道并加强防御,然后利用新建立的基地进一步发动攻击,以获得战略优势。尽管他们可能动用了不同的军队来进行攻击,或者采取了基于地形和防御工事的各种战术,?

相关报道